Drupal เพิ่มช่องทาง HTTPS อุดช่องโหว่กระบวนการอัพเดท

หลังจากที่นักวิจัยด้านความปลอดภัยจาก IOActive ได้ออกมาเปิดเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง ซึ่งเสี่ยงต่อการดาวน์โหลดไฟล์ปลอมมาติดตั้งและถูกแฮ็คเว็บไซต์ได้ วันนี้ Drupal ได้เพิ่มช่องทางในการอัพเดทแบบ HTTPS และแก้ไขปัญหาในการอัพเดททั้งหมดเรียบร้อยแล้ว

ปัญหาในกระบวนการอัพเดท 3 ประการประกอบด้วย การไม่เข้ารหัสช่องทางการอัพเดทและไม่ตรวจสอบความถูกต้องของไฟล์, การไม่แจ้งเตือนการอัพเดทล้มเหลว และช่องโหว่ CSRF ที่บังคับให้ตรวจสอบการอัพเดทตลอดเวลา ซึ่งปัญหาเหล่านี้ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อส่งเฟิร์มแวร์แบบ Backdoor สำหรับใช้แฮ็คเว็บไซต์ของผู้ใช้บริการเว็บไซต์ได้ทันที

เพิ่มช่องทาง HTTPS แก้ไขปัญหาการไม่เข้ารหัส

หลังจากที่ทีมรักษาความปลอดภัยของ Drupal ทราบข่าว ก็ได้ทำการปรับปรุงแก้ไขกระบวนการอัพเดทให้รองรับการใช้งานแบบ HTTPS เพื่อขจัดปัญหาเรื่องการโจมตีแบบ Man-in-the-Middle ทิ้งไป ผู้ดูแลระบบสามารถอัพเดทเฟิร์มแวร์ผ่าน HTTPS ได้โดยใช้ Drush ซึ่งเป็น Command-line Shell และ Scripting Interface ยอดนิยมสำหรับ Drupal ได้ทันที นอกจากนี้ ลิงค์สำหรับดาวน์โหลดเฟิร์มแวร์ทั้งหมดก็ถูกปรับเป็น HTTPS ด้วยเช่นกัน แต่สำหรับ Core Update Status Module นั้น ขณะนี้กำลังอยู่ในกระบวนการแก้ไข คาดว่าจะถูกเปลี่ยนเป็นช่องทาง SSLในการอัพเดทครั้งถัดไป

เปิดเคสสำหรับติดตามและขอความร่วมมือในการแก้ไขปัญหาที่เหลือ

สำหรับปัญหาเรื่องการไม่แจ้งเตือนการอัพเดทล้มเหลว และช่องโหว่ CSRF นั้น ทาง Drupal ได้ให้คำแนะนำในการรับมือกับปัญหาชั่วคราว แต่ยังไม่ได้ออกแพทช์เพื่อแก้ไขปัญหาแต่อย่างใด อย่างไรก็ตาม ทีมรักษาความปลอดภัยของ Drupal ได้เปิดเคสสำหรับติดตามและแก้ไขปัญหาดังกล่าว รวมทั้งขอความร่วมมือกับนักพัฒนาในการสร้างแพทช์เพื่ออุดช่องโหว่เหล่านี้ สามารถดูรายละเอียดได้ที่ https://www.drupal.org/node/2646306 และ https://www.drupal.org/node/2646328

ที่มา: https://groups.drupal.org/node/506128